3D-Secure wird ab 2021 Pflicht bei Online-Kartenzahlungen
Eine europäische Richtlinie gibt vor, dass ab dem kommenden Jahr 2021 jeder, der mit seiner Kreditkarte im Internet bezahlen möchte, eine weitere Sicherheitsmaßnahme zur Authentifizierung beachten muss. Neben der Eingabe der Kartendaten sorgt das 3D-Secure Verfahren für zusätzliche Sicherheit und soll verhindern, dass ein unberechtigter Dritter sich auf fremde Kreditkartendaten Zugriff verschafft.
Der Sinn des 3D-Secure-Verfahrens
Ziel des 3D-Secure-Verfahrens ist, dass der rechtmäßige Kreditkartenbesitzer hinter der Online-Zahlung steht. Aufgrund dessen wird ein weiterer Sicherheitsschritt gefordert, um die Zahlung freizugeben. Diesen Schritt nennt man „starke Kundenauthentifizierung“ oder auch „Zwei-Faktor-Authentifizierung“. Je nach Kreditkartengesellschaft hat das 3D-Secure-Verfahren einen anderen Namen. In folgender Tabelle sind die vier größten Kartengesellschaften und ihr dazugehöriges 3D-Secure-Verfahren aufgelistet:
Kreditkartengesellschaft | 3D-Secure-Verfahren |
---|---|
VISA | Verified by Visa |
Mastercard | MasterCard Secure Code |
American Express | SafeKey |
Diners Club | Protect Buy |
Was versteht man unter Zwei-Faktor-Authentifizierung?
Zunächst (bis September 2019) reichten für den Zugriff auf die Banking-App Zugangscode und Passwort. Wer mit der Kreditkarte im Web bezahlte, gab die Kartennummer und die Prüfziffer ein. Jedoch war dies in den Augen der EU zu unsicher, da nur ein Faktor für die Legitimierung benötigt wurde.
Um diese Vorgänge im Internet für den Kunden sicherer zu machen und der Cyberkriminalität mehr Einhalt zu gebieten, verlangte Brüssel ab dem 14. September 2019 im Rahmen der „Richtlinien der Europäischen Union zur starken Kundenauthentifizierung im elektronischen Zahlungsverkehr“, dass Zahlungen oder Bankabfragen mit zwei Faktoren legitimiert werden müssen.
Das 21 Seiten starke Dokument zusammengefasst, Bezahlen und Zugang zu sensiblen Daten müssen für Verbraucher sicherer werden. Der Nutzer muss zwei starke Identifikationsmerkmale vorweisen, um aktiv werden zu können. Betroffen sind aber nicht nur finanzaffine Vorgänge. Das Hochladen von Daten in eine Cloud oder der Zugriff darauf benötigt künftig auch eine 2FA. Bekannt ist das Prinzip vielen bereits durch ELSTER, die elektronische Steuererklärung. Neben dem Log-in mit Passwort bedarf es noch der Authentisierung durch das Softwarezertifikat.
Wird die zusätzliche Freigabe bei jeder Zahlung notwendig sein?
Ob bei jeder einzelnen Zahlung die Authentifizierung mit dem 3D-Secure-Verfahren durchgeführt wird, hängt von dem herausgebenden Kreditinstitut ab. Wenn man zum Beispiel mehrfach bei dem gleichen Online-Händler einkauft, kann möglicherweise darauf verzichtet werden. Ein weiterer Ausnahme-Grund wäre ein niedriger Umsatz beim Einkauf.
Registriert werden kann das 3D-Secure-Verfahren bei Ihrer herausgebenden Bank (einfach per Online-Banking anmelden oder ggfs. den Ansprechpartner kontaktieren).